Schriftliche Stellungnahme zum Referentenentwurf der C5-Äquivalenz-Verordnung

Das Referat 512 – Cybersicherheit und Interoperabilität vom Bundesministerium für Gesundheit (BMG) hat die AG KRITIS um Stellungnahme zum Referentenentwurf der C5-Äquivalenzverordnung (Verordnung nach § 393 Absatz 4 Satz 4 des Fünften Buches Sozialgesetzbuch) gebeten.

Im Gesundheitswesen werden besonders schützenswerte Daten verarbeitet. Um den dafür angemessenen Schutz auch beim Einsatz cloudbasierter Informationssysteme sicherzustellen, in denen Gesundheits- oder Sozialdaten verarbeitet werden, wurde durch das Digital-Gesetz der § 393 des Fünften Buches Sozialgesetzbuch (SGB V) neu eingeführt. Damit wurde ein verpflichtend einzuhaltender Mindeststandard eingeführt: der durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte „Kriterienkatalog C5 (Cloud Computing Compliance Criteria Catalogue)“. Durch die Anforderung einer C5 Zertifizierung der informationstechnischen Systeme soll die Resilienz der Einrichtungen im Gesundheitswesen gesteigert werden.

Aus unserer Sicht ist nicht nachvollziehbar, dass ein C5-Testat ausschließlich durch Wirtschaftsprüfer erstellt werden darf und dass nicht auf das bewährte Verfahren der Erteilung von Zertifikaten zurückgegriffen wird.

Mit der Äquivalenzverordnung soll Rechtssicherheit bezüglich eines vergleichbaren Sicherheitsniveaus hergestellt werden. Dies ist zu begrüßen.

Unsere Stellungnahme ging dem BMG fristgemäß am 23.01.2025 zu. Wir haben die Stellungnahme hier im Volltext bereitgestellt.

Titelbild wurde von akitada31 angefertigt und via pixabay Inhaltslizenz veröffentlicht.